以太坊開發者需要知道的四項安全性原則,以及一些基本權衡。
盡管區塊鏈行業的發展日趨成熟,但是智能合約的開發仍是一個相對較新的領域。因此,為了應對新的漏洞和安全危機,以及滿足開發新的最佳實踐的需要,我們應該不斷完善安全性方面的問題。學習最佳實踐只是智能合約開發者在安全性方面踏出的第一步。
智能合約編程需要一種不同于傳統的工程思維。智能合約失敗的代價很高,更新迭代需要較大工程量,這使得它在某些方面更類似于硬件編程或金融服務編程,而不是web或者移動端開發。因此,僅僅防御已知的風險是遠遠不夠的,還需要掌握新的開發理念。
準備應急措施
任何重要的合約都會出現故障。因此,開發者必須做好充足的準備,以便及時應對漏洞。
Curve創始人再次將250萬枚CRV轉移到潛在的OTC地址:金色財經報道,據Scopescan監測顯示,Curve創始人10分鐘前又將250萬枚CRV轉移到潛在的OTC地址。目前他一共轉賬1750萬枚CRV到這個地址。[2023/8/1 16:11:30]
出現故障時暫停合約?(“斷路器”)。
管理風險資金的數量?(限制流量,最大化利用率)。
準備有效的升級路徑以修復和改進bug。
防患未然
最好是在完整的產品發布之前發現bug。
全面測試合約,并在發現新的攻擊向量時添加相應測試。
alpha測試網版本發布之后,提供bug賞金。
分階段推出,每個階段更新功能并添加新測試。
合格托管服務Cactus Custody與NEAR Protocol集成:金色財經報道,吳忌寒旗下加密金融服務公司Matrixport宣布旗下機構合格托管服務Cactus Custody與Layer 1區塊鏈生態系統NEAR Protocol集成,Cactus Custody上的所有Matrixport服務都將無縫支持NEAR協議。據悉機構客戶將增加保護其原生NEP-141 NEAR協議代幣資產的信心,此外NEP-141兼容項目也將可以優化DeFi運營,通過Cactus Custody的DeFi連接解決方??案進一步促進增長。(Crowdfundinsider)[2023/4/7 13:50:11]
保持智能合約的簡潔性
復雜性會提高出現故障的概率。
Okex上BTC永續期貨未平倉合約創5個月高點:金色財經報道,Glassnode數據顯示,Okex上BTC永續期貨合約的未平倉合約為912,347,396.08美元,創5個月高點。[2022/10/10 12:50:56]
確保合約邏輯簡單。
模塊化代碼以使合約和函數保持較小。
請盡可能使用既有工具或代碼?(例如不要使用自己的隨機數生成器)。
在保證清晰度的前提下再考慮性能。
只在系統中需要去中心化的部分使用區塊鏈技術。
保持更新
跟進新的安全性措施。
檢查智能合約,以最快的速度定位新漏洞。
盡快升級到任何工具或庫的最新版本。
Alameda向FTX轉入價值5962萬美元的穩定幣:6月22日消息,據KingData監控,被KingData大戶地址標記為Alameda FTX Deposit的錢包地址(0x83a127952d266A6eA306c40Ac62A4a70668FE3BD)近2小時內向FTX交易所轉入40,065,998枚USDC和19,558,208枚BUSD,價值59,624,206美元。[2022/6/22 4:44:43]
采用可能有效的保障安全性的新技術。
了解EVM的特性
盡管開發者對以太坊編程較熟悉,但仍需要注意一些陷阱。
要特別小心外部合約調用,該過程可能會執行惡意代碼并改變控制流(controlflow)。
要明白,開發者的公共函數是公開的,可能會被惡意調用,調用順序也可能是任意的。任何人都可以查看智能合同中的隱私數據。
注意gas成本和區塊gas限制。
注意,區塊鏈上的時間戳是不精確的:礦工可以在幾秒內影響交易執行的時間。
隨機性是區塊鏈上一個重要的特性,大多數產生隨機數的方法在區塊鏈上是具有博弈性的。
基本權衡因素
在評估智能合約系統的結構和安全性時,需要考慮多種基本的權衡。對于所有智能合約系統的普遍建議是,在這些權衡之間找到平衡點。
從軟件工程的角度來看,理想的智能合約系統是模塊化的,即重用代碼而不是復制代碼,以及支持可升級的組件。而從安全架構的角度來看,理想的智能合約系統可能同樣會使用這種模式,尤其是面對更為復雜的智能合約系統。
然而,當安全性和軟件工程最佳實踐出現不一致時,也會有一些例外情況發生。而在每種情況下,可通過選擇合約系統上的最佳性能組合來達到平衡,例如:
固定版本vs.可升級
整塊化vs.模塊化
復制vs.重用
固定版本vs.可升級
當多個資源?(包括此資源)?強調自身的延伸性時?(比如可中斷的、可升級的或可修改的模式),那么就需要在延伸性和安全性之間找到一個平衡點。
延伸性增加了復雜性和潛在的受攻擊性。如果智能合約系統在預先規定的有限時間內能夠完成的功能非常有限,那么這時簡潔性比復雜性要有效得多,例如,無治理的限時代幣發售合約系統。
整塊化vs.模塊化
獨立的整塊化合約允許信息在本地識別和讀取。雖然整塊化合約一般不被重視,但對于數據和流的極端本地化存在爭議,例如代碼審計的效率優化。
與本文考慮的其他因素一樣,在簡單的短期合約中,安全性最佳實踐趨向于與軟件工程最佳實踐相悖;而在更復雜的永久合約系統中,兩者趨于相一致。
復制vs.重用
從軟件工程的角度來看,智能合約系統希望能夠在需要時最大化重用功能。在Solidity語言中,有許多重用合約代碼的方法。實現代碼重用的最安全的方式通常是:使用自己之前經過驗證和部署的合約。
如果之前部署的合約無法使用,開發者通常就需要依靠復制功能了。OpenZeppelin的Solidity庫嘗試提供一些模式,使得安全代碼可以在無需復制的情況下被重用。任何合約安全分析都必須將目標智能合約系統中還沒有與風險資金建立相當信任級別的重用代碼包含在內。
現如今,在以太坊上創建應用軟件無疑是最令軟件工程師激動的前沿領域,但這需要持續不斷的威脅建模?(threatmodeling)、安全審計,還需要做好周全計劃以應對故障發生。
原文鏈接:https://media.consensys.net/the-smart-contract-security-mindset-a09f5f8f5f4f
來源|?ConsenSysMedia
我是有道,潛心于K線形態的角度剖析趨勢,拒絕任何市場煙霧。用心寫每一篇文章,態度鮮明,力求最專業。有道領致力于為廣大Ckcoin用戶提供全方位一體化服務,專業的帶單指導,倉位管理,風險控制.
1900/1/1 0:00:00行情回顧: 8/1大盤可謂是勢如破竹,不斷向上突破,先是突破11500后凌晨收線一根大陽柱來到11700附近,經過短暫的回調蓄力,8/2早上先是突破11950.
1900/1/1 0:00:00茶可醉人,佛可渡人。投資只有一個目的,那就是賺更多的錢,為了讓身邊的人過的更好,沒有誰的錢是大風刮來的,路上白撿的,這個市場不缺老師,缺的是一個有良心的老師,一個有責任心,站在客戶角度去考慮問題.
1900/1/1 0:00:00技術開發進展 1.Staking:修改cosmos-sdk中init命令時,出塊時間間隔和最小手續費的默認設置;在x/mint模塊中,編寫出塊獎勵按照比特幣減半算法.
1900/1/1 0:00:00金色財經區塊鏈7月25日訊??如今虛擬資產行業發展十分迅猛,配套的監管制度和合規機制也急需構建配套.
1900/1/1 0:00:00距離上次的Cashaa的“攻擊”事件已經過去了一周左右,Cashaa創始人兼首席執行官披露了被盜事件更多細節,下文中將進行詳細敘述.
1900/1/1 0:00:00